Controles de Security Hub para Amazon Redshift - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para Amazon Redshift

Estos AWS Security Hub los controles evalúan el servicio y los recursos de Amazon Redshift.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente

Gravedad: crítica

Tipo de recurso: AWS::Redshift::Cluster

AWS Config regla: redshift-cluster-public-access-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los clústeres de Amazon Redshift son de acceso público. Evalúa el campo PubliclyAccessible del elemento de configuración del clúster.

El atributo de la configuración del clúster de Amazon Redshift PubliclyAccessible indica si el clúster es de acceso público. Cuando el clúster se configura con el valor PubliclyAccessible set entrue, se trata de una instancia con acceso a Internet que tiene un DNS nombre que se puede resolver públicamente y que se resuelve en una dirección IP pública.

Cuando el clúster no es de acceso público, se trata de una instancia interna con un DNS nombre que se resuelve en una dirección IP privada. A menos que desee que su clúster sea de acceso público, el clúster no debe configurarse con el valor PubliclyAccessible establecido como true.

Corrección

Para actualizar un clúster de Amazon Redshift para inhabilitar el acceso público, consulte Modificación de un clúster en la Guía de administración de Amazon Redshift. Establezca Accesible públicamente en No.

Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::Redshift::Cluster AWS::Redshift::ClusterParameterGroup

AWS Config regla: redshift-require-tls-ssl

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si las conexiones a los clústeres de Amazon Redshift son necesarias para utilizar el cifrado en tránsito. La comprobación no se realiza correctamente si el parámetro de clúster de Amazon Redshift require_SSL no se ha establecido como True.

TLSse puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se TLS deben permitir las conexiones cifradas a través de redes. El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta función para comprender el perfil de rendimiento y el impacto de la mismaTLS.

Corrección

Para actualizar un grupo de parámetros de Amazon Redshift para que requiera el cifrado, consulte Modificación de un grupo de parámetros en la Guía de administración de Amazon Redshift. Establecer require_ssl como True.

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Gravedad: media

Tipo de recurso: AWS::Redshift::Cluster

AWS Config regla: redshift-backup-enabled

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

​MinRetentionPeriod

Periodo mínimo de retención de instantáneas en días

Entero

De 7 a 35

7

Este control comprueba si un clúster de Amazon Redshift tiene habilitadas las instantáneas automatizadas y si el periodo de retención es superior o igual al periodo especificado. Se produce un error en el control si las instantáneas automatizadas no están habilitadas para el clúster o si el periodo de retención es inferior al periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención de instantáneas, Security Hub utiliza un valor predeterminado de 7 días.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. Refuerzan la resiliencia de sus sistemas. Amazon Redshift toma instantáneas periódicas de forma predeterminada. Este control comprueba si las instantáneas automáticas están habilitadas y conservadas durante al menos siete días. Para obtener más información sobre las instantáneas automatizadas de Amazon Redshift, consulte Instantáneas automatizadas en la Guía de administración de Amazon Redshift.

Corrección

Para actualizar el período de retención de instantáneas de un clúster de Amazon Redshift, consulte Modificación de un clúster en la Guía de administración de Amazon Redshift. Para Copia de seguridad, establezca la Retención de instantáneas en un valor de 7 o superior.

Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría

Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::Redshift::Cluster

AWS Config regla: redshift-cluster-audit-logging-enabled (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

  • loggingEnabled = true (no personalizable)

Este control comprueba si un clúster de Amazon Redshift tiene activado el registro de auditoría.

El registro de auditoría de Amazon Redshift proporciona información adicional acerca de las conexiones y las actividades de los usuarios en su clúster. Estos datos se pueden almacenar y proteger en Amazon S3 y pueden ser útiles en las auditorías e investigaciones de seguridad. Para obtener más información, consulte Registro de auditoría de base de datos en la Guía de administración de Amazon Redshift.

Corrección

Para configurar el registro de auditoría para un clúster de Amazon Redshift, consulte Configuración de la auditoría mediante la consola en la Guía de administración de Amazon Redshift.

Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-2, NIST .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: media

Tipo de recurso: AWS::Redshift::Cluster

AWS Config regla: redshift-cluster-maintenancesettings-check

Tipo de horario: provocado por un cambio

Parámetros:

  • allowVersionUpgrade = true (no personalizable)

Este control comprueba si las actualizaciones automáticas de las versiones principales están habilitadas para el clúster de Amazon Redshift.

La activación de las actualizaciones automáticas de las versiones principales garantiza que las últimas actualizaciones de las versiones principales de los clústeres de Amazon Redshift se instalen durante el período de mantenimiento. Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Mantenerse al día con la instalación de los parches es un paso importante para proteger los sistemas.

Corrección

Para solucionar este problema desde AWS CLI, utilice el modify-cluster comando Amazon Redshift y defina el --allow-version-upgrade atributo. clusternamees el nombre de su clúster de Amazon Redshift.

aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade

[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC

Requisitos relacionados: NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 (21), (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Categoría: Proteger > Configuración de red segura > Acceso API privado

Gravedad: media

Tipo de recurso: AWS::Redshift::Cluster

AWS Config regla: redshift-enhanced-vpc-routing-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un clúster de Amazon Redshift ha habilitado EnhancedVpcRouting.

El VPC enrutamiento mejorado obliga a que todo COPY el UNLOAD tráfico entre el clúster y los repositorios de datos pase por ustedVPC. A continuación, puede utilizar VPC funciones como grupos de seguridad y listas de control de acceso a la red para proteger el tráfico de la red. También puede utilizar los registros de VPC flujo para supervisar el tráfico de la red.

Corrección

Para obtener instrucciones de corrección detalladas, consulte Habilitar el VPC enrutamiento mejorado en la Guía de administración de Amazon Redshift.

Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), .800-53.r5 NIST CM-2

Categoría: Identificar > Configuración de recursos

Gravedad: media

Tipo de recurso: AWS::Redshift::Cluster

AWS Config regla: redshift-default-admin-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un clúster de Amazon Redshift ha cambiado el nombre de usuario de administrador con respecto a su valor predeterminado. Este control fallará si el nombre de usuario de administrador de un clúster de Redshift se ha establecido como awsuser.

Al crear un clúster de Redshift, debe cambiar el nombre de usuario de administrador predeterminado por un valor único. Los nombres de usuario predeterminados son de dominio público y deben cambiarse al configurarlos. Cambiar los nombres de usuario predeterminados reduce el riesgo de accesos no deseados.

Corrección

No puede cambiar el nombre de usuario de administrador del clúster de Amazon Redshift después de crearlo. Para crear un clúster nuevo con un nombre de usuario que no sea el predeterminado, consulte el paso 1: Crear un clúster de Amazon Redshift de muestra en la Guía de introducción a Amazon Redshift.

Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST

Categoría: Identificar > Configuración de recursos

Gravedad: media

Tipo de recurso: AWS::Redshift::Cluster

AWS Config regla: redshift-default-db-name-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un clúster de Amazon Redshift ha cambiado el nombre de la base de datos con respecto a su valor predeterminado. El control fallará si el nombre de la base de datos de un clúster de Redshift se ha establecido como dev.

Al crear un clúster de Redshift, debe cambiar el nombre predeterminado de la base de datos por un valor único. Los nombres predeterminados son de dominio público y deben cambiarse al configurarlos. Por ejemplo, un nombre conocido podría provocar un acceso inadvertido si se utilizara en condiciones de IAM política.

Corrección

No se puede cambiar el nombre de la base de datos de su clúster de Amazon Redshift después de crearlo. Para obtener instrucciones sobre cómo crear un nuevo clúster, consulte Introducción a Amazon Redshift en la Guía de introducción a Amazon Redshift.

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST .800-53.r5 SI-7 (6)

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::Redshift::Cluster

AWS Config regla: redshift-cluster-kms-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los clústeres de Amazon Redshift están cifrados en reposo. El control falla si un clúster de Redshift no está cifrado en reposo o si la clave de cifrado es diferente de la clave proporcionada en el parámetro de la regla.

En Amazon Redshift, puede activar el cifrado de la base de datos de los clústeres para proteger los datos en reposo. Cuando activa el cifrado para un clúster, se cifran los bloques de datos y metadatos del sistema para el clúster y sus instantáneas. El cifrado de los datos en reposo es una práctica recomendada, ya que añade una capa de administración del acceso a los datos. El cifrado de los clústeres de Redshift en reposo reduce el riesgo de que un usuario no autorizado pueda acceder a los datos almacenados en el disco.

Corrección

Para modificar un clúster de Redshift para que utilice el KMS cifrado, consulte Cambiar el cifrado de clústeres en la Guía de administración de Amazon Redshift.

[Redshift.11] Los clústeres de Redshift deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::Redshift::Cluster

AWS Config regla: tagged-redshift-cluster (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen AWS requisitos No default value

Este control comprueba si un clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro. requiredTagKeys El control falla si el clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si el clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

nota

No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.

Corrección

Para añadir etiquetas a un clúster de Redshift, consulte Etiquetado de recursos en Amazon Redshift en la Guía de administración de Amazon Redshift.

[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::Redshift::EventSubscription

AWS Config regla: tagged-redshift-eventsubscription (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen AWS requisitos No default value

Este control comprueba si una instantánea de un clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro. requiredTagKeys El control falla si la instantánea del clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si la instantánea del clúster no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

nota

No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.

Corrección

Para añadir etiquetas a una suscripción de notificaciones de eventos de Redshift, consulte Etiquetado de recursos en Amazon Redshift en la Guía de administración de Amazon Redshift.

[Redshift.13] Las instantáneas del clúster de Redshift deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::Redshift::ClusterSnapshot

AWS Config regla: tagged-redshift-clustersnapshot (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen AWS requisitos No default value

Este control comprueba si una instantánea de un clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro. requiredTagKeys El control falla si la instantánea del clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si la instantánea del clúster no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

nota

No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.

Corrección

Para añadir etiquetas a una instantánea de un clúster de Redshift, consulte Etiquetado de recursos en Amazon Redshift en la Guía de administración de Amazon Redshift.

[Redshift.14] Los grupos de subredes del clúster de Redshift deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::Redshift::ClusterSubnetGroup

AWS Config regla: tagged-redshift-clustersubnetgroup (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen AWS requisitos No default value

Este control comprueba si un grupo de subredes de clústeres de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro. requiredTagKeys El control falla si el grupo de subredes del clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro. requiredTagKeys Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si el grupo de subredes del clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

nota

No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.

Corrección

Para añadir etiquetas a un grupo de subredes de clústeres de Redshift, consulte Etiquetado de recursos en Amazon Redshift en la Guía de administración de Amazon Redshift.

[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos

Categoría: Proteger > Configuración de red segura > Configuración de grupos de seguridad

Gravedad: alta

Tipo de recurso: AWS::Redshift::Cluster

AWS Config regla: redshift-unrestricted-port-access

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si un grupo de seguridad asociado a un clúster de Amazon Redshift tiene reglas de entrada que permiten el acceso al puerto del clúster desde Internet (0.0.0.0/0 o: :/0). El control falla si las reglas de ingreso del grupo de seguridad permiten el acceso al puerto del clúster desde Internet.

Permitir el acceso entrante sin restricciones al puerto del clúster de Redshift (dirección IP con el sufijo /0) puede provocar un acceso no autorizado o incidentes de seguridad. Recomendamos aplicar el principio de acceso con privilegios mínimos al crear grupos de seguridad y configurar las reglas de entrada.

Corrección

Para restringir la entrada en el puerto del clúster de Redshift a orígenes restringidos, consulte Trabajar con reglas de grupos de seguridad en la Guía del usuario de VPCAmazon. Actualice las reglas en las que el rango de puertos coincida con el puerto del clúster de Redshift y el rango de puertos IP sea 0.0.0.0/0.